Auditoría gubernamental encontró fallas de seguridad en el sistema de pago digital en 2019: informe

Auditoría gubernamental encontró fallas de seguridad en el sistema de pago digital en 2019: informe

La auditoría encontró fallas de seguridad en el sistema de pago digital NPCI

Una auditoría gubernamental del procesador de pagos insignia de la India el año pasado encontró más de 40 vulnerabilidades de seguridad, incluidas varias que calificó de riesgo “crítico” y “alto”, según un documento interno del gobierno visto por Reuters. La auditoría, que tuvo lugar durante cuatro meses hasta febrero de 2019, destacó la falta de cifrado de datos personales en la Corporación Nacional de Pagos de India (NPCI), que constituye la columna vertebral del sistema de pagos digitales del país y opera la red de tarjetas RuPay promovida por Prime Ministro Narendra Modi.

El documento del gobierno de marzo de 2019 citó el almacenamiento de números de tarjeta de 16 dígitos y otra información personal como nombres de clientes, números de cuenta y números de identidad nacional en “texto sin formato” en algunas bases de datos, dejando los datos desprotegidos si se violaba el sistema. La auditoría no ha sido reportada previamente.

El NPCI dijo en un comunicado a Reuters que es auditado regularmente en interés de la seguridad y la alta gerencia revisa todos los hallazgos, que luego son “remediados para (la) satisfacción de los auditores”. Esto incluye los hallazgos citados por Reuters, dijo.

El coordinador nacional de seguridad cibernética de la India, Rajesh Pant, cuya oficina coordinó la auditoría, también dijo en un comunicado a Reuters que “todas las observaciones planteadas en el informe del año pasado han sido confirmadas como resueltas por el NPCI”.

Las auditorías agregadas de Pant son la mejor práctica para la mitigación de los ataques cibernéticos y son realizadas periódicamente por todas las empresas.

La auditoría se realizó para proporcionar al Consejo de Seguridad Nacional de Modi una visión general de las defensas del NPCI contra los ataques cibernéticos. La oficina de Modi y el ministerio de finanzas no respondieron a una solicitud de comentarios de Reuters.

Los hallazgos de la auditoría subrayan los desafíos de seguridad de datos que enfrenta el NPCI que procesa miles de millones de dólares diariamente a través de servicios que incluyen transferencias de fondos interbancarios, transacciones en cajeros automáticos y pagos digitales.

En India y más allá, las instituciones financieras están bajo una inmensa presión para montar defensas efectivas para proteger a sus clientes a medida que aumenta el número de ataques cibernéticos maliciosos y los piratas informáticos se vuelven más sofisticados.

Creada en 2008, la NPCI es una compañía sin fines de lucro que a marzo de 2019 contaba con 56 bancos como accionistas, incluidos el Banco Estatal de India, Citibank y HSBC.

RuPay, en particular, ha sido respaldado con entusiasmo por Modi, que ha comparado su uso con un deber nacional. Ha crecido hasta dar cuenta de casi dos tercios de casi 900 millones de tarjetas de débito y crédito emitidas en India a partir de octubre, según datos de NPCI y del banco central.

PREOCUPACIONES DE GOBERNANZA

La auditoría siguió un informe de inspección del Banco de la Reserva de la India (RBI) en el NPCI en julio de 2017 que encontró fallas en sus prácticas de auditoría interna, riesgos operativos y políticas de denuncia de irregularidades. Hubo “falta de conciencia sobre los riesgos y la cultura del riesgo en la institución”, según una versión mayormente redactada del informe de 37 páginas que obtuvo Reuters a través de la Ley de Derecho a la Información (RTI) el año pasado.

El documento del gobierno de 2019 sobre la auditoría también señaló: “Existe una gran necesidad de una gobernanza adecuada”.

El RBI realizó otra inspección entre noviembre y diciembre de 2019. Un informe de 33 páginas sobre esa auditoría incluyó su evaluación de la gobernanza de NPCI y los riesgos operativos y crediticios. Pero la mayor parte del informe, también obtenido por Reuters a través de la Ley RTI, fue redactado por el banco central que citó la necesidad de proteger los intereses económicos de India y NPCI.

El NPCI en su declaración no hizo comentarios específicos sobre los informes de RBI, pero dijo que todas las observaciones citadas por Reuters fueron remediadas. El RBI no hizo comentarios sobre los informes.

CUESTIONES CITADAS

El documento del gobierno de marzo de 2019 dijo que una variedad de números de tarjeta no estaban encriptados dentro de la base de datos NPCI para la red del país de casi 250,000 cajeros automáticos, mientras que los números de tarjetas RuPay sin encriptar también se podían ver en los registros del servidor de la organización.

Recomendó que los datos confidenciales, los datos del cliente y la información de identidad personal se “encripten / enmascaren correctamente en la base de datos y los registros”.

NPCI dijo en su declaración a Reuters que almacena los datos de la tarjeta de acuerdo con los estándares establecidos por el Consejo de Estándares de Seguridad PCI, y ha sido objeto de auditorías autorizadas por el consejo. “No se han observado no conformidades y cumplimos plenamente con estos estándares”, dijo el comunicado.

Otros problemas de alto riesgo en RuPay y otras aplicaciones NPCI citadas por la auditoría gubernamental incluyeron la llamada vulnerabilidad de “desbordamiento del búfer”, un problema de seguridad de la memoria que puede permitir a los piratas informáticos aprovechar los errores de codificación.

Los sistemas operativos utilizados por el NPCI no estaban “actualizados” y uno de sus servidores de correo tenía una funcionalidad antimalware inadecuada, dijo también.

La auditoría fue realizada por un equipo de 10 a 12 personas en las oficinas centrales y oficinas de NPCI en Mumbai en otras dos ciudades, dijo una persona familiarizada con el asunto, que se negó a ser identificada.

(Esta historia no ha sido editada por el personal de NDTV y se genera automáticamente a partir de un feed sindicado).

Reply